En 2012, le réseau social professionnel LinkedIn avait été la victime d'une fuite massive d'identifiants. Quelque 6,5 millions d'identifiants de comptes étaient ainsi publiés sur un forum russe. En particulier, des hashes de mots de passe (SHA-1).

linkedin Le coup avait été dur pour LikedIn dans la mesure où cette péripétie avait mis l'accent sur ses lacunes dans l'application de certains standards de sécurité. Il lui a ainsi été reproché de ne pas avoir procédé à un salage qui consiste à insérer des caractères aléatoires dans le mot de passe haché pour une protection supplémentaire contre les attaques de type dictionnaire.

Le réseau social avait réagi a posteriori en rehaussant ses mesures de sécurité et en réinitialisant tous les comptes potentiellement compromis en raison de mots de passe trop faciles à casser. Quatre ans plus tard, la vieille brèche de sécurité se rappelle au bon souvenir de LinkedIn.

Se présentant sous le pseudonyme de Peace, un individu a mis en vente au marché noir une base de données contenant 117 millions d'identifiants de comptes LinkedIn issus de l'intrusion informatique de 2012. Des mots de passe qui peuvent donc être facilement cassés.

Pour les utilisateurs qui n'avaient pas changé leur mot de passe après le piratage de 2012, c'est dès lors une alerte sérieuse. LinkedIn la prend comme telle et indique invalider les mots de passe de tous les comptes créés avant la brèche de 2012 et pour lesquels il n'y avait pas déjà eu une réinitialisation du mot de passe.

LinkedIn ajoute étudier des possibilités de poursuite en justice pour les sites qui vendent la base de données anciennement dérobée, et précise que des outils de détection automatique surveillent et bloquent toute activité suspecte sur des comptes affectés.

Précisons bien que depuis l'affaire de 2012, LinkedIn utilise une technologie plus à-propos pour le chiffrement des mots de passe.